Збереження всередині системи інформації про профілі, з яких відбувся доступ до персональних «досьє» громадян в електронній системі, є достатнім для забезпечення захисту персональних даних - заявив заступник голови Комітету Верховної Ради з питань цифрової трансформації Сергій Штепа та з трибуни закликав колег підтримати законопроект Кабміну 11377 про Єдину інформаційну систему соціальної сфери.
Як раніше писала «Судово-юридична газета», у цій інформаційній системі буде формуватися повна картина про громадян, адже до неї будуть «стікатися» дані з різних реєстрів, від інформації про ситуацію з військовим обліком, перетином нею кордону – до сплати податків, наявності авто, квартир, землі, відкритих виконавчих проваджень, одруження, розлучення, народження дітей тощо.
Надавати персональні дані про особу, що містяться в Єдиній системі соціальної сфери, будуть за запитом «суб'єкта електронної інформаційної взаємодії, здійсненим його посадовою особою в межах електронної інформаційної взаємодії з метою здійснення повноважень, визначених законом».
Виходячи з визначення таких суб’єктів, йдеться про посадовців «власника (держателя) електронного інформаційного ресурсу, який уклав договір про приєднання до системи електронної взаємодії державних електронних інформаційних ресурсів і забезпечує електронну інформаційну взаємодію з іншими суб'єктами електронної інформаційної взаємодії або в інший спосіб здійснює обмін даними з Єдиною інформаційною системою соціальної сфери в електронній формі».
Також закон передбачає, що відкриті дані Єдиної системи, передбачені статтею 15, можуть надаватися за запитом користувача Єдиної системи, іншої юридичної чи фізичної особи, ФОП, які надають соціальну підтримку. А у статті 15 вказано, що те, які саме дані є відкритими, буде визначати Кабмін.
Чи можна буде дізнатися, хто використав персональні дані
Як розповів з трибуни Сергій Штепа: «Кожен запит, який був зроблений до цієї системи, буде довічно зберігатись, і в будь-якому випадку можна буде переглянути, хто, що і коли дивився. Це дуже важливо, і саме це і сприятиме тому, щоб всі персональні дані громадян були збережені».
Однак, слід зауважити, що закон у редакції комітету у ч. 3 ст. 13 безпосередньо не зобов’язує інформувати осіб про те, хто і що саме робив з їх даними. Тобто, запитувати про маніпуляції з даними зможе орган з питань захисту персональних даних, а не власник цих даних.
В законі у редакції комітету, немає прямої норми, що людина може вимагати дані особи, яка переглядала чи оперувала її персональними даними, а інформацію можна отримати лише про себе та підопічних, без можливості побачити персональні дані (тобто, ПІБ) інших осіб, зокрема посадовців, які запитували його дані.
Чи будуть відокремлювати заявників від незаявників?
З закону чітко не випливає, чи будуть збирати дані про громадян, яким ці соціальні послуги від держави взагалі не потрібні, і чи зможуть вони переглядатися за запитом неокресленого кола посадовців. З одного боку, закон начебто стосується лише заявників соціальної сфери, з іншого – відсутній чіткий механізм, як будуть відокремлювати заявників від «незаявників».
Тобто, внаслідок обробки даних можна буде пропонувати соціальну допомогу особі, яка поки про неї не замислювалася.
За логікою, це означає, що в системі соціальної сфери будуть дані не лише про заявників: «Обробка в Єдиній системі персональних даних чи інших сукупностей даних осіб, які можуть бути конкретно ідентифіковані в Єдиній системі, заявників та отримувачів соціальної підтримки, інших користувачів Єдиної системи проводиться з метою забезпечення соціального захисту населення.
Якщо під час наповнення Єдиної системи використовується інформація або інші сукупності даних осіб, які не можуть бути конкретно ідентифіковані в Єдиній системі, з інших баз даних, до Єдиної системи вноситься інформація про особу без її особистої участі».
Чи можна буде видалити з системи власні персональні дані?
Як випливає з редакції закону, яку пропонував Раді прийняти комітет (а під час пленарного засідання частина правок не була врахована), то людина зможе вимагати видалення даних із системи – однак її запит не обов’язково має бути задоволений:
«Суб'єкт персональних даних має право подати запит щодо джерел отримання його даних та вимагати видалення інформації, якщо її збирання було здійснено з порушенням законодавства».
У статті 11 будуть визначені права осіб, персональні дані яких внесено до Єдиної інформаційної системи соціальної сфери.
Яка відповідальність?
Закон лише містить посилання на «відповідні закони», навіть без вказівки на конкретну їх назву:
«За порушення положень цього Закону винні особи притягуються до відповідальності згідно із законом.
Посадові особи суб'єктів Єдиної системи, винні у вчиненні порушень … можуть бути позбавлені права доступу до Єдиної системи на строк від 6 місяців до одного року.
Особи, винні в недотриманні встановленого законодавством про захист персональних даних порядку захисту персональних даних чи інших сукупностей даних осіб, які можуть бути конкретно ідентифіковані в Єдиній системі, що призвело до незаконного доступу до них або до порушення прав субʼєкта персональних даних, підлягають притягненню до відповідальності, передбаченої законом».
Також Сергій Штепа вказав на те, що будь-яке розміщення інформації в хмарному середовищі фізично за межами території України буде здійснюватися тільки з узгодженням зі Службою безпеки України: «Виключно після погодження ця інформація може бути розміщена на іноземних серверах».
За матеріалами «Судово-юридичної газети».
Читайте також:
